Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.

 

 

 

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s